Details of the offer for Analyse de la sécurité de solution de virtualisation - H/F about reversing at Sogeti in Issy-Les-Moulineaux

[ PROVIDED ]
Sogeti Logo

L’ESEC (European Security Expertise Center - http://esec.fr.sogeti.com/) est le centre de compétences et d’expertise en sécurité des systèmes d’information de Sogeti France regroupant près de 200 consultants et experts de haut niveau.

Au sein du laboratoire de R&D de l'ESEC (http://esec-lab.sogeti.com/), nous recherchons un stagiaire ingénieur sécurité pour analyser la sécurité de solutions de virtualisation.

Contexte

La virtualisation s’est de plus en plus répandue dans le secteur informatique, notamment au niveau du cloud computing. Des solutions comme Microsoft Azure (Hyper-V) ou Amazon EC2 (Xen) proposent des serveurs virtuels basés sur des hyperviseurs plus ou moins étudiés d’un point de vue sécurité. Notamment au niveau de l’isolation entre les différentes machines virtuelles présentes sur une même machine physique. Il existe quelques études sur le sujet mais elles demandent à être complétées par d’autres tests plus approfondis.

Sujet

Le stage consiste à analyser une solution de virtualisation utilisée dans un cloud afin de déterminer le niveau d’isolation réel entre les différentes machines virtuelles présentes sur une même machine physique.

Le stage se déroulera en plusieurs parties :
1. État de l’art
  a. Historique de la sécurité de l’hyperviseur
2. Étude de l’hyperviseur
  a. Analyse de l’implémentation de la virtualisation
  b. Analyse des différents composants de l’hyperviseur
  c. Analyse de l’isolation des entrées-sorties de la VM
  d. Analyse des règles de sécurité présentes entre les VM
3. Tests et évaluations
  a. Développement d’un prototype démontrant les faiblesses de sécurité

L’hyperviseur peut être en partie disponible en open-source. Les parties qui ne le sont pas devront être auditées par reverse enginnering.

Compétences recherchées
  • Bonne compréhension des technologies de virtualisation matérielles : Intel VT-x, VT-c (Network), VT-d (I/O MMU)
  • Bonnes connaissances en reverse engineering. IDA, Hex-Rays
  • Bonnes connaissances en sécurité informatique
Modalités
  • Durée du stage : 6 mois environ
  • Profil idéal : stage de fin d’étude
Références

1. http://www.darkreading.com/attacks-breaches/researchers-develop-cross-vm-side-channe/240012743
2. http://hal.archives-ouvertes.fr/docs/00/76/12/06/PDF/cesar_paper71-version_publieI_e.pdf
3. http://www.univ-orleans.fr/lifo/prodsci/rapports/RR/RR2011/RR-2011-08.pdf
4. http://www.cs.cornell.edu/courses/cs6460/2011sp/papers/cloudsec-ccs09.pdf
5. http://2013.zeronights.org/includes/docs/Gal_Diskin_-_Virtually_Impossible_-_ZeroNights_release_version.pdf

Apply